離婚講座の申込者情報が本人以外から閲覧可能に、設定ミスで - 目黒区


東京都目黒区は、同区が実施する講座でインターネットのフォームを通じて申し込みした住民の個人情報が、別の申込者からも閲覧できる状態になっていたことを明らかにした。

同区では、離婚にあたり、子どものメンタルケアや養育費、面会交流など、子どもの生活を守るための情報を提供する「目黒区パパとママの離婚講座」を企画。2022年6月6日に開催する予定だったが、申込者の情報が流出したもの。

同区によれば、5月25日19時ごろから同日20時半ごろにかけて、同講座にフォームを通じて申し込んだ2人の個人情報が閲覧可能になっていた。氏名、電話番号、メールアドレス、子どもの年齢、講座に参加して特に知りたい内容などが含まれる。

5月25日19時半ごろ子ども家庭支援センターに連絡があり、閲覧可能となっていることが判明。フォームを作成する際、入力内容を他申込者と共有するよう誤って設定するミスがあったという。

1時間後、同区サイトからフォームのURLやQRコードが記載されたチラシなどを削除した。あわせて事業者に対し、オンラインフォームによる申し込みの受付停止と、申込結果が閲覧できないようにするなど対応を求めた。

同区では、対象となる申込者に謝罪し、対応状況を説明。実施予定だった同講座を中止した。


離婚講座の申込者情報が本人以外から閲覧可能に、設定ミスで - 目黒区

ブロックチェーンやDeFiプロジェクトの攻撃手法は古典的? / These are the flaws that let hackers attack blockchain and DeFi projects


分散型金融(DeFi)およびブロックチェーン・プロジェクトの数は、昨年中に大量に増加しましたが、その人気の高まりは、サイバー攻撃者の興味をも刺激しました。彼らは2021年に少なくとも推定18億ドルを盗むことに成功したのです。

ブロックチェーンは、改ざんや変更が困難な方法で取引を記録するデジタル台帳です。そのため、これらの技術は、暗号通貨資産や取引の管理、スマートコントラクト、金融、法的契約の円滑化などに多大な可能性を持っています。

近年、ブロックチェーンの普及により、分散型金融が登場しています。DeFi金融商品・システムは、従来の銀行や金融サービスに代わるもので、分散型技術やスマートコントラクトに依存して運用されています。

DeFi、NFT、暗号通貨は、脆弱性、ロジックエラー、プログラミングの欠陥を利用し、フィッシングキャンペーンを行い、被害者からデジタル資金を盗み出す脅威のターゲットとして人気があります。

2022年5月、マイクロソフトは、マルウェア、インフォステア、クリプトジャッカー、ランサムウェアなど、デジタル脅威の標準辞書に「クライウェア」という用語を導入しました。この新しい用語は、非保護通貨ウォレット(別名「ホットウォレット」)から情報を収穫し、盗むように設計されたマルウェアを説明しています。

ブロックチェーンは、デジタルウォレットが必要とする送金、入金、出金のインフラを容易にする一方で、ホットウォレットはデバイスのローカルに保存されるため、盗難の恐れがあります。

先日、Bishop Foxのサイバーセキュリティ研究者は、2021年に発生した重要なブロックチェーンとDeFiの強盗の分析結果を発表しまし、18億ドルの損失が発生したと分析しています。

チームが調査した主な「イベント」は65件で、そのうち90%は「古典的な攻撃」であったと考えられます。

2021年の主な攻撃ベクトルは以下の通りです。

  • 51%:スマートコントラクトの脆弱性
  • 18%:プロトコルや設計の欠陥
  • 10:ウォレットの侵害
  • 6:ラグ・プル、出口詐欺
  • 4:キーリーク
  • 4%:フロントエンドのハッキング
  • 3%:アービトラージ
  • 2%:暗号通貨関連のバグ
  • 2%:フロントラン(将来の取引所に関する知識でキューに入れた取引)
"ほとんどの場合、攻撃はスマートコントラクトの脆弱性、またはプロトコルのロジックそのものに起因していることがわかります。"と研究者は指摘しています。"これは、セキュリティ対策の実施について一定の技術的な後知恵を欠いている可能性のある最近の技術としては驚くべきことではありません。"

スマートコントラクトで悪用される脆弱性の種類に関して言えば、脅威者が悪用する最も一般的な問題は、よく知られたバグ、フォークに含まれる脆弱性、および巧妙な攻撃です。また、ラグ・プルや終了詐欺も、程度の差こそあれ記録されています。

しかし、これらの攻撃の多くは、リリース前にしっかりとした監査とテストを行うことで回避することができます。フォークを使用している開発者も、DeFiプロジェクトのソースコードに影響を与えるセキュリティ問題がないか、コードベースを定期的にチェックする必要があります。

"我々は躊躇なく、DeFiは現在、大きく早い利益を求める泥棒を引き付けるおいしいターゲットであると言うことができます "とBishop Foxは言う。この技術の歴史が浅いことと、お金に関わることであることを考えれば、この観察は明らかです。

一度も問題にぶつかったことのない技術的な進歩や開発は珍しい。最初のコンピュータがウイルスが蔓延する可能性をあまり考えずにネットワーク化されたように、DeFiの開発者は保護よりもアルゴリズムの革新性を求める傾向があります。

出典:These are the flaws that let hackers attack blockchain and DeFi projects

2022年版フォローすべき海外セキュリティ関連ツイッターアカウント / 22 Cybersecurity Twitter Accounts You Should Follow in 2022

 

2022年の半ばを迎え、Twitterがサイバーセキュリティの共有プラットフォームであり続けていることに疑いの余地はないでしょう。ランサムウェア攻撃やサイバー犯罪、APTやサイバー戦争、デジタルフォレンジックやインシデントレスポンス、マルウェアのアウトブレイクやリバースエンジニアリングに関する最新ニュースを探している場合でも、Twitterにはそのすべてが揃っており、さらに多くの情報を得ることができます。

セキュリティは知識を共有することが重要であり、Twitterでは、この業界で最も優秀な人たちが知識を共有しているのを見ることができます。では、2022年に最新の情報を入手し、知識を深め、新しいスキルやリソースを学ぶには、誰をフォローすればいいのでしょうか。2022年にフォローすべき重要なサイバーセキュリティ・アカウントを22個厳選しました。例年のリストにあるものもありますが、今年のリストにも新しく、興味深く、影響力のあるツィーターがたくさんいます。ぜひチェックしてみてください。

1. @KimZetter | Kim Zetter

Kim Zetterはサンフランシスコを拠点とするジャーナリストで、10年以上にわたってサイバーセキュリティ、国家安全保障、選挙セキュリティについて執筆してきました。Stuxnetに関するベストセラーで権威ある本の著者である@KimZetterは、サイバーセキュリティ関連のジャーナリズムで最高のものを見つけることができるアカウントです。


2. @maddiestone | Maddie Stone

リバースエンジニアであり、ゼロデイエクスプロイトのエキスパートであるMaddie Stoneは、Google Project Zeroのセキュリティ研究者として働いており、定期的にカンファレンスに登壇しています。彼女のツイッターアカウント@maddiestoneは、最新のバグやゼロデイ発見を追いかけたい人には欠かせないものです。


3. @cyb3rops | Florian Roth

Florian Rothは、おそらくYARAとIOC THOR APTスキャナで最もよく知られている検出エンジニアです。Florianはまた、githubで利用可能な無料のツールや検出ユーティリティの膨大なコレクションを持っています。Florian のフィード @cyb3rops には、最新の脅威と脅威の検出に焦点を当てたオリジナルとキュレーションのコンテンツが含まれており、見逃すことはできません。


4. @campuscodi | Catalin Cimpanu

Catalin は現在、ポッドキャスティング・アウトレット「RiskyBiz」のニュースレターを担当するようになったため、自身を「元サイバーセキュリティ記者」と表現していますが、彼の Twitter フィード @campuscodi は今でもサイバーセキュリティに関する厳選されたニュースの宝庫で、見逃すことはできないものです。


5. @cglyer | Christopher Glyer

Christopherは、Microsoft Threat Intelligence Centerの犯罪ソフトウェア研究者であり、元インシデントレスポンダー、セキュリティアーキテクトです。ランサムウェアやサイバー犯罪に関する最新のマルウェアの発生状況やニュースについては、@cglyer をフォローしてください。


6. @billyleonard | billy leonard

billy leonardは、Google Threat Analysis Group (TAG) の State Sponsored Hacking and Threats 分析のグローバルヘッドを務めています。名詞が多いのは確かですが、IoCの共有や最新の脅威者の活動に関するその他の貴重な情報に興味があれば、@billyleonardをフォローする価値のあるTwitterアカウントであることに変わりはないでしょう。


7. @Kostastsale | Kostas

検知といえば、DFIRReportのアナリストである@Kostastsaleは、最近の脅威レポート、検知のヒント、その他のDFIR関連のニュースを常に先取りしたい人にとって、フォロー必須の存在です。Kostasはまた、GithubにYARAルール、MITRE ATT&CK navigator、Threat Intelligence playbooksを網羅する有用なレポを集めている。


8. @vxunderground | vx-underground

Twitter の比較的新しい情報セキュリティ・アカウントである vx-underground は、最新ニュースや研究者による最新のマルウェア・サンプルへのアクセスなど、楽しくて有益なツイートによって、サイバーセキュリティの専門家からすぐに多くの支持を集めるようになりました。マルウェアハンター、リバースエンジニア、検出エンジニアにとって、@vxundergroundは日々のダイジェストに加えるべき貴重な存在です。


9. @likethecoins | Katie Nickels

KatieはRedCanaryのインテル担当ディレクターであり、SANS認定インストラクター(FOR578: Cyber Threat Intelligence)、Atlantic CouncilのCyber Statecraft Initiativeのシニアフェローでもあります。ケイティは、他の人々の仕事を促進するために素晴らしい仕事をしており、情報セキュリティ業界で道を切り開く人々のための素晴らしい情報源となっています。


10. @RidT | Thomas Rid

ジョンズ・ホプキンス大学高等国際問題研究所の戦略研究教授、アルペロビッチ・サイバーセキュリティ研究所設立ディレクター。政治的な動機によるサイバー攻撃、偽情報、サイバネティクスに関する世界有数の専門家です。サイバー、政治、情報の接点に関心を持つすべての人にとって、@RidTは欠かせないフォローの対象です。


11. @theJoshMeister | Josh Long

Josh Longは、macOS/OSXのセキュリティ分野で誰よりも長くTwitterを利用しており、約13万人のフォロワーがそれを証明しています。Apple、Mac、デジタルプライバシーに関するサイバーセキュリティの問題を専門とするジャーナリストである@theJoshMeisterは、セキュリティに関連するあらゆる事柄についてフォローしています。


12. @ryanaraine | Ryan Naraine

@ryanaraine は、ハッカーやサイバーセキュリティのビジネスに興味があるなら、フォローすべき必須のアカウントであり続けています。ライアンは、Twitter 界隈のサイバーセキュリティや情報セキュリティに関するニュースをリツイートするだけでなく、定期的に配信されるポッドキャストを通じて、思慮深く洞察に満ちた見解を提供しています。


13. @craiu | Costin Raiu

もしあなたがまだ @craiu をフォローしていないなら、今こそ彼のフォロワーの一人になるチャンスです!自称「別の惑星からのアンチハッカー」は、カスペルスキーのグローバル・リサーチ・アナリシス・ディレクターで、サイバーセキュリティに関するあらゆるものの優れた情報源となっています。自称「別の惑星からのアンチハッカー」は、カスペルスキーのグローバルリサーチと分析のディレクターで、あらゆるサイバーセキュリティの優れた情報源として活躍しています。


14. @AricToler | Aric Toler

Aric TolerはBellingcatのトレーニング&リサーチディレクターで、当初は2014年にボランティアとして活動を開始しました。Bellingcatはオランダに拠点を置くOSINTに特化した調査報道機関であり、AricのTwitterアカウントは、彼と彼らの重要なアウトプットの両方を追いかけるのに素晴らしい場所です。


15. @evacide | Eva Galperin

Eva GalperinはEFFのサイバーセキュリティ担当ディレクターで、The Coalition Against Stalkerwareの共同設立者です。常に適切で、しばしばユーモラスな@evacideは、デジタル・プライバシーに関連するあらゆる事柄について見逃すことのできない情報源です。


16. @4n6lady | Shannon Brazil

ShannonはArete Incident Responseのアソシエイト・ディレクターで、OSINTの愛好家である。彼女のツイッターは、DFIRに重点を置いた個人的な内容と技術的な内容が魅力的で、35,000人にフォローされている。


17. @zackwhittaker | Zack Whittaker

TechCrunch のセキュリティエディターであり、人気のニュースレター this.weekinsecurity の著者でもある Zack は、サイバーおよび情報セキュリティの最新ニュースについて最も注目している人物の 1 人です。Zackwhittakerのフィードは、米国や海外を問わず、あなたの組織に影響を与える可能性のあるサイバー世界のすべての出来事を把握するための素晴らしい方法です。


18. paπcake | @trufae

このフィードは、r2@radareorgに関するニュースやアップデートだけでなく、リバースエンジニアリング一般に関してもフォローする価値があります。


19. @Fox0x01 Azeria |  Maria Markstedter

ARMはLinux、iOS、そしてAppleのM1 Macに採用され、リバースエンジニアにとってますます重要な存在になってきています。ARMに関する知識について、ネット上で最も優れたリソースの1つが、Maria MarkstedterことAzeria Labsです。Fox0x01は、ARMベースのシステムの専門家であり、サイバーセキュリティのオピニオンリーダーでもあります。


20. @HostileSpectrum | HostileSpectrum

時事問題はともかく、サイバーセキュリティ業界やその他の業界では、ウクライナ情勢がどのように進展しているのか、そしてより広範な教訓や影響がどのようなものであるかに強い関心を寄せている人がたくさんいます。サイバー戦争とウクライナ情勢に関する優れたコメントは、@HostileSpectrumをフォローしてください。


21. @GossiTheDog | Kevin Beaumont

サイバーセキュリティのライターとして絶大な人気を誇るKevin Beaumontは、怒れる組織からの苦情を避けるため、雇用主の身元を秘密にしているそうです。その他、@GossiTheDogはしばしばニュースを最初に伝え、常に読むに値する洞察に満ちた見解を述べています。


22. @juanandres_gs | J. A. Guerrero-Saade

Juan Andrés Guerrero-Saade、通称JAG-Sは、SentinelLabsの主席脅威研究員です。JAG-SのTwitterでは、サイバー戦争、スパイ活動、国民国家の脅威要因に関する独自の洞察や、サイバーセキュリティの研究とインテリジェンスの最前線で起こっていることに関する関連するリツイートやコメントを見ることができます。


出典:22 Cybersecurity Twitter Accounts You Should Follow in 2022

アメリカ司法省は、セキュリティ研究者をハッキング犯罪で起訴しないことを発表 / Justice Department pledges not to charge security researchers with hacking crimes

 

米国司法省は、コンピュータ詐欺・乱用防止法(CFAA)に対する長年の懸念を認め、「善意のセキュリティ研究」を反ハッキング法の告発の対象にしないことを発表しました。検察はまた、単にウェブサイトの利用規約に違反したこと(出会い系サイトのプロフィールを誇張するような軽微なルール違反も含む)や、仕事用のコンピュータを個人的な作業に使用したことを理由に起訴することも避けなければならないとしている。

新しい司法省の方針は、2021年の最高裁判決を受け、その広範で曖昧な範囲に対する懸念を和らげようとするものです。判決は、政府検察官の以前の解釈が「息を呑むほどありふれたコンピューター活動」を犯罪化する危険性があると警告し、司法省が現在起訴しないと約束しているいくつかの仮想的な例を示している。この変更は、「善意のテスト、調査、またはセキュリティ上の欠陥や脆弱性の修正」を行う研究者のための防衛線となっています。この新しい規則は、2014年に発行された古いガイドラインに代わって、直ちに発効します。

"この方針は、一部の裁判所やコメンテーターが懸念していた仮想的なCFAA違反は起訴しないことを明確にした "とDOJのプレスリリースは述べています。"出会い系サイトの利用規約に反してプロフィールを盛る、雇用・住宅・賃貸サイトで架空のアカウントを作る、禁止されているソーシャルネットワーキングサイトで偽名を使う、職場でスポーツの成績をチェックする、職場で請求書を支払う、利用規約に含まれるアクセス制限に違反するなどは、それだけで連邦刑事責任を問うには不十分です "と述べています。

このガイドラインは、1986年にCFAAによって犯罪とされたコンピュータへの「許可されたアクセスを超える」行為を新たに限定的に解釈したものである。ネットワークやコンピュータの所有者が定めた規則に違反することでアクセスを「超える」のか、それとも明確に立ち入り禁止のシステムや情報にアクセスしなければならないのかについては、数十年にわたって対立が続いています。前者の解釈は、「マイスペース」で偽のプロフィールを作成した女性を検察が起訴したケースにつながりました。最高裁は後者の解釈に傾き、そして今、司法省も理論的には後者の解釈に傾いている。

この方針は、CFAAの批判をすべて解決するものではありません。また、検察の解釈の仕方に影響を与えるだけで、基本的な法律の曖昧さを解消するものでもない。また、DOJは、セキュリティ研究は、ネットワークを調査するための「フリーパス」ではないと警告している。例えば、バグを発見し、その知識を利用してシステムの所有者を恐喝した者は、その研究を悪意を持って行ったとして起訴される可能性がある。しかし、このような制限があるにせよ、今回の規則制定は、コンピュータ・システムをその所有者の気に入らない方法で使用した人に、懲罰的な反ハッキング罪を課すことを避けるための公約であると言えるでしょう。

出典:Justice Department pledges not to charge security researchers with hacking crimes

Osmosis、出金時に3倍の金額を受け取ることができるバグで500万ドルの損失が発生して停止。 / Osmosis chain halted after bug leads to $5 million loss


Osmosisのプールにお金を預けると、出金時に3倍の金額を受け取ることができるというバグがユーザーに発見され、2022年6月8日にOsmosisチェーンが停止されました。

このバグはRedditの公開投稿で初めて報告され、あるユーザーが「Bug on Osmosis オスモーシスに深刻な問題がある。プールに流動性を追加してから削除すると、50%も増えてしまうのです! どうしたら直るんだ!!?朝までにプールが空になる!」と報告しました。

開発者は、流動性プールが完全に枯渇する前にチェーンを停止させたが、約500万ドルの損失が発生したと推定している。彼らは回復計画に取り組んでいると書いている。おそらく彼らはまた、Redditの公開投稿ではなく、個人的にバグを報告するようコミュニティに促すだろう。

出典:Osmosis chain halted after bug leads to $5 million loss


[イベント] Global Cyber Conference (2022/9/22-23)

 

チューリッヒで開催される唯一のサイバーセキュリティとプライバシーの国際会議

グローバルサイバーカンファレンス(GCC)は、サイバーセキュリティとプライバシーに関する国際的なイベントとして、2日間にわたって綿密なパネルディスカッション、サイバーセキュリティの現状と未来に関するプレゼンテーション、データ保護に関する講演を行うことを目的としています。

https://swisscyberinstitute.com/conference/

暗号通貨取引所のApolloXが脆弱性をつかれて150万ドル盗まれる / ApolloX exchange exploited for $1.5 million


ApolloX取引所では、攻撃者が約4000万ドルのAPXを引き出し、約150万ドルに交換することができるというエクスプロイトが発生しました。これにより、$APXの価格も50%以上下落した。

同取引所は価格を上げるためにAPXを買い戻すことを発表しており、これまでに60万ドルを費やしている。

出典:ApolloX exchange exploited for $1.5 million

NBA選手が立ち上げた「Players Only NFT」プロジェクトは詐欺(rug pull)か? / Players Only NFT project, founded by NBA players, rug pulls for $1.4 million


Crypto-sleuthのzachxbtは2022年6月8日、Michael Carter-WilliamsやJerami GrantなどのNBA選手のグループが作ったNFTプロジェクト、「Players Only NFT」が詐欺(rug pull)に見えると報告した。

選手たちは、そのスター性を利用して、このプロジェクトと、ボブルヘッド風の様々なスポーツ選手のやや不穏なNFTへの関心を集めました。このプロジェクトは、サイン入りグッズ、選手との現実とメタバースでの出会い、その他の景品を宣伝するロードマップで、設立したアスリートたちの密接な関与を約束しました。

プロジェクトチームは「保有者全員が何かを獲得できる」と約束したものの、選手はイベントに現れず、Zoom meetupは再三の要請にもかかわらず予定されず、グッズも送られてこないなど、コレクターは多くの失望を味わうことになった。サイン入りのジャージを約束されたある人は、代わりにサインのないTシャツを受け取ったようだ。

2022年5月中旬、プロジェクトのクリエイター2人が「コミュニティを喜ばせることができないようなので、プロジェクトから手を引く」ことを発表しました。この発表では、プロジェクトの失敗を「関心の低さ」のせいだと大々的に非難しています。彼らはもう物理的なアイテムを提供せず、「アスリートの実用性」に焦点を当てると言いましたが、それ以来、プロジェクトは同じように停滞したままになっています。

コレクターは2021年12月上旬にPlayers Only NFTを1枚0.08ETHで鋳造しました。このプロジェクトのNFTは先月(2022年5月)、セカンダリーマーケットで1枚、0.001ETHで販売されています。

出典:Players Only NFT project, founded by NBA players, rug pulls for $1.4 million